เราได้รับรายงานแจ้งเตือนช่องโหว่ Localize My Post ช่องโหว่นี้เกิดจาก directory traversal (ช่องโหว่ที่สามารถทำให้เราเข้าถึงระบบไฟล์ที่อยู่ในโฟลเดอร์) ทำให้ Hacker สามารถรวมไฟล์ต่างๆ ได้ Hacker จะใช้ประโยชน์จากช่องโหว่นี้ โดยการส่งคำขอ URL ที่สร้างขึ้นมาไปยังสคริปต์ include.php โดยใช้พารามิเตอร์ ‘file’ เพื่อระบุว่าเป็นไฟล์อันตรายจากระบบภายใน ทำให้ Hacker เข้าถึงข้อมูลที่สำคัญ หรือสามารถสั่งรันโค้ดในระบบได้
หมายเลขช่องโหว่ : CVE-2018-16299
ช่องโหว่ที่ตรวจพบ : Gain Access
ผลิตภัณฑ์ที่เกี่ยวข้อง : WordPress Localize My Post plugin for WordPress 1.0
แนวทางแก้ไข : ยังไม่พบแนวทางแก้ไข ช่องโหว่นี้พบเมื่อ 19/09/2018
ที่มา : cve.mitre.org
